REvil 랜섬웨어, 피해자 네트워크의 PoS 시스템 검색하기 시작해

REvil ransomware scans victim's network for Point of Sale systems

시만텍 연구원들이 REvil 랜섬웨어 운영자가 피해자 네트워크에서 PoS 시스템을 탐색하기 시작했다고 밝혔습니다.

Sodinokibi로도 알려진 REvil은 서비스형 랜섬웨어(RaaS)로 익스플로잇, 노출된 원격 데스크톱 서비스, 스팸, 해킹된 MSP 등을 통해 기업 네트워크를 해킹하는 것으로 알려져 있습니다.

운영자는 타깃 네트워크에 접근한 후 측면 이동을 통해 확산되며 서버와 워크스테이션의 데이터를 훔친 후 도메인 컨트롤러에 대한 관리자 접근 권한을 얻어 네트워크 상의 모든 기기를 암호화합니다.

시만텍이 관찰한 한 캠페인에서 REvil의 제휴 파트너는 상용 Cobalt Strike 침투 테스팅 툴킷을 사용하여 타깃 네트워크에 REvil 랜섬웨어 페이로드를 배포한 것으로 나타났습니다.

3시간 후 랜섬머니가 3배로 증가해

연구원들은 이 캠페인이 노린 회사 8곳의 네트워크에서 Cobalt Strike를 발견했습니다. 

공격자는 서비스, 식품, 의료 업계의 회사 3곳을 REvil 랜섬웨어에 감염시켜 데이터를 암호화했습니다.

“이 캠페인이 노린 기업은 주로 대규모 다국적 회사였습니다. 공격자는 이들이 시스템에 대한 접근 권한을 되찾기 위해 큰 금액을 기꺼이 지불할 것이라고 믿은 것으로 보입니다.”

공격자는 각 피해자에게 5만 달러 상당의 모네로 가상화폐를 지불할 것을 요구했습니다. 3시간이 지나면 이 금액은 10만 달러로 증가했습니다.

REvil 공격자들은 타깃 네트워크에 접근한 후 Pastebin(페이로드 저장소), Amazon CloudFront(C&C 서버)와 같은 정식 서비스에서 인프라를 호스팅 해 탐지를 피하려 애썼습니다.

또한 이들은 보안 팀이 공격을 발견할 수 없도록 보안 소프트웨어를 비활성화했으며, 계정 크리덴셜을 훔쳐 해킹된 기기에 지속적으로 접근하기 위한 계정을 추가했습니다.

Pos 시스템 스캔해

서비스 및 식품 기업은 비싼 랜섬머니를 지불할 수 있는 좋은 타깃이었으며, 의료 기관은 랜섬머니를 감당할 수 없는 작은 규모 사업장이었습니다.

공격자들은 이들이 복호화 툴에 대한 랜섬머니를 지불할 수 없을 것으로 보이자 이 의료 조직의 네트워크에서 PoS 시스템을 탐색했습니다. 

신용카드 데이터를 훔치고, 추가 수익을 낼 만한 파일을 찾아 암호화하기 위해서인 것으로 보입니다.

“이 공격 중 대부분은 Sodinokibi를 사용한 이전 공격에서 찾아볼 수 있는 전형적인 전략을 사용했지만, PoS 소프트웨어를 탐색하는 점은 흥미롭습니다. 일반적인 랜섬웨어 공격에서는 찾아볼 수 없었기 때문입니다.”

이달 초 REvil 랜섬웨어는 피해자로부터 훔친 데이터를 가장 높은 금액을 제시한 사람에게 판매하는 경매 사이트를 오픈하기도 했습니다.

현재 알약에서는 해당 악성코드 샘플에 대해 'Trojan.Cometer'으로 탐지 중에 있습니다.

출처:

https://www.bleepingcomputer.com/news/security/revil-ransomware-scans-victims-network-for-point-of-sale-systems/

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/sodinokibi-ransomware-cobalt-strike-pos